Descripción de la vulnerabilidad
Windows es un sistema operativo desarrollado por Microsoft Corporation, y Office es la suite de oficina de Microsoft, que incluye aplicaciones de oficina de uso común como Word, Excel, PowerPoint, etc.
Debido al manejo incorrecto de la navegación de archivos entre protocolos en los productos Windows y Office afectados, cuando un usuario abre un documento de Microsoft Office creado con fines malintencionados, el atacante puede ejecutar de forma remota código arbitrario en el host del usuario. Se recomienda actualizar el parche de vulnerabilidad a tiempo. : https:/ /msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884.
Nombre de vulnerabilidad | Vulnerabilidad de ejecución remota de código HTML de Office y Windows |
---|---|
tipo de vulnerabilidad | inyección de código |
Tiempo de descubrimiento | 2023/7/12 |
Amplitud de vulnerabilidad | ancho |
Número MPS | MPS-ve9m-zjrb |
número CVE | CVE-2023-36884 |
número CNVD | - |
Esfera de influencia
Microsoft Word@[2013 Service Pack 1, 2016]
Microsoft Office LTSC@[2021, 2021]
Servidor Windows@[2008, 2022]
Windows 10@[1607, 22H2]
Windows 11@[21H2, 22H2]
Microsoft Office@[2019, 2019]
Plan de reparación
Se recomienda actualizar el parche de vulnerabilidad a tiempo. Los usuarios también pueden mitigar esta vulnerabilidad usando Microsoft Defender para Office o modificando el registro. Para obtener más detalles, consulte el documento oficial: https://msrc.microsoft.com/update- guía/vulnerabilidad/CVE-2023 -36884
Link de referencia
https://www.oscs1024.com/hd/MPS-ve9m-zjrb
Acerca de Murphy Security
Murphy Security es una empresa de tecnología que le brinda administración de seguridad de la cadena de suministro de software profesional. El equipo central proviene de Baidu, Huawei, Wuyun y otras empresas. La compañía brinda a los clientes una plataforma completa de administración de seguridad de la cadena de suministro de software y proporciona software con un ciclo de vida completo en torno a la gestión de seguridad SBOM, las capacidades de la plataforma incluyen análisis de componentes de software, gestión de seguridad de origen, detección de imágenes de contenedores, alerta temprana de inteligencia de vulnerabilidad y evaluación de acceso a la cadena de suministro de software comercial y otros productos. Proporcione a los clientes capacidades de control completas desde la gestión de identificación de activos de la cadena de suministro, detección de riesgos, control de seguridad y reparación con una sola tecla.
Proyecto de código abierto: https://github.com/murphysecurity/murphysec/?sf=qbyj
El producto se puede integrar con varias herramientas en el proceso de desarrollo existente a un costo muy bajo, incluida la integración perfecta con docenas de herramientas como IDE, Gitlab, Bitbucket, Jenkins, Harbour y Nexus.
Herramienta de detección de seguridad de código gratuita: https://www.oscs1024.com/hd/MPS-ve9m-zjrb
Suscripción de inteligencia gratuita: https://www.oscs1024.com/cm/?sf=qbyj